“幣安驚魂夜”： 趙長(zhǎng)鵬半月前已收到警報(bào) 火幣bigone仍有漏洞

3月7日，知名數(shù)字貨幣交易平臺(tái)幣安遭到黑客攻擊，此次攻擊造成全球數(shù)字幣價(jià)格大跌。

根據(jù)幣安交易所的公告，有31個(gè)賬戶遭到黑客的釣魚入侵，黑客在掌握用戶的賬戶權(quán)限之后，使用機(jī)器掛單，進(jìn)行程序化高頻交易，給用戶帶來巨大損失。

這幾天關(guān)于此事的新聞很多，但絕大多數(shù)都是從事件本身出發(fā)，對(duì)數(shù)字貨幣的影響、對(duì)交易平臺(tái)的影響等。

最關(guān)鍵的一點(diǎn)沒人提及：到底釣魚事件是怎么發(fā)生的，作為幣安的普通用戶，我們應(yīng)該如何防御此類攻擊?

(1)一年前，華裔學(xué)生報(bào)告unicode釣魚漏洞

在幣安交易所發(fā)布的公告中指出，本次攻擊，黑客使用了“unicode釣魚手法”，這個(gè)是什么鬼?估計(jì)99%的記者沒看懂。

2017年4月14日，在約翰霍普金斯大學(xué)研究數(shù)學(xué)的學(xué)生xudongzheng發(fā)表了一篇論文，題目是《PhishingwithUnicodeDomains》，中文大意為“用unicode網(wǎng)址釣魚”。文章中給出了一種釣魚的方法，多語言字符混合來騙過用戶的眼睛。

安全專家向黑奇士表示，咱們使用的瀏覽器，是以英文為基礎(chǔ)的，包括網(wǎng)址在開始也是僅能解析英文，所謂的unicode編碼。

為了讓瀏覽器支持多語言，有人開發(fā)了punycode編碼，這套編碼可以讓世界上其他的語言可以被瀏覽器“理解”，比如中文、俄文、韓語。

例如，你要訪問蘋果網(wǎng)站，在最早你必須輸入英文的apple.com;后來中國(guó)的cnnic、3721等公司，相繼開發(fā)了自己的插件，讓瀏覽器支持“新浪.com”、”“百度.com”這樣的域名。Punycode就相當(dāng)于一款語言插件(編碼標(biāo)準(zhǔn))，被內(nèi)置在了主流瀏覽器當(dāng)中。

但使用puycode編碼的網(wǎng)址會(huì)有一個(gè)問題，比如中文拼音的ü，跟英文單詞的u，看起來非常像(一個(gè)頭上有兩點(diǎn)，一個(gè)沒有)，但這套編碼會(huì)識(shí)別成兩個(gè)字母。

這就帶來一種攻擊：有人把各種語言的相似字母組合在一起，冒充知名網(wǎng)址。

本次幣安的釣魚攻擊，就是有人把西里爾語字母，跟英文字母結(jié)合，冒充幣安的網(wǎng)址。

黑奇士采訪的資深白帽子M表示，即使是專業(yè)安全人士，如果對(duì)web安全不熟，面對(duì)這種釣魚也很有可能上當(dāng)。

(看到n下面那兩點(diǎn)了嗎，那不是英文字母)

(2)半月前趙長(zhǎng)鵬已收到警報(bào)，但未做處理

所謂的釣魚攻擊，本質(zhì)上就是用戶在一個(gè)“仿冒網(wǎng)站”上輸入了自己的賬號(hào)密碼。

這個(gè)仿冒網(wǎng)站，要想針對(duì)性的投放到幣安用戶群中，黑客會(huì)使用一些精準(zhǔn)化的投放手法，例如搜索發(fā)動(dòng)機(jī)的廣告投放、向幣安用戶發(fā)送釣魚郵件、在電報(bào)群中點(diǎn)對(duì)點(diǎn)發(fā)送網(wǎng)址鏈接等。

這些動(dòng)作不能在短期內(nèi)起效，如果交易所在安全監(jiān)控上投入精力，是有可能早期發(fā)現(xiàn)、早期處理類似事件的。

(趙長(zhǎng)鵬憑借幣安累積的巨額財(cái)富，登上了福布斯封面)

可惜的，幣安交易所并未做到。

有微信截圖顯示，早在2月20日，有人向幣安交易所創(chuàng)始人趙某發(fā)布了釣魚警告，他表示問題已得到處理。從幣安的后續(xù)措施來看，他并未把這個(gè)警告當(dāng)真，至少?zèng)]有向存在風(fēng)險(xiǎn)的用戶發(fā)布警告，以求盡力挽回?fù)p失。

白帽子M先生表示，針對(duì)此類unicode釣魚，主流瀏覽器已經(jīng)能夠防御。在PC端，只要把瀏覽器升級(jí)到最新版本，就能解決一大部分威脅;在手機(jī)上，安裝殺毒軟件也能解決很多問題。如果是蘋果手機(jī)，安裝騰訊手機(jī)管家，iOS系統(tǒng)會(huì)調(diào)用其SDK，也能對(duì)釣魚網(wǎng)址進(jìn)行攔截。

黑奇士查看幣安網(wǎng)站，截至發(fā)稿，網(wǎng)站首頁(yè)沒有任何安全提醒。

(3)普通用戶應(yīng)該如何防范此類釣魚攻擊?

黑奇士提醒普通用戶，可以采取如下措施，降低數(shù)字幣交易的安全風(fēng)險(xiǎn)：

1、無論手機(jī)端還是PC端，都必須安裝殺毒軟件，而且要安裝套裝。單純“殺毒”，是無法解決釣魚這樣問題的，黑奇士推薦卡巴斯基的殺毒套裝(付費(fèi)版)，國(guó)內(nèi)的話，可以嘗試騰訊安全管家或火絨殺毒軟件(兩者均為免費(fèi)軟件)。

2、瀏覽器必須保持實(shí)時(shí)升級(jí)，事實(shí)上，uniode釣魚過去已經(jīng)一年，主流瀏覽器都應(yīng)該打了補(bǔ)丁，對(duì)近似字符區(qū)別性顯示。但國(guó)內(nèi)有些換殼的瀏覽器，核心升級(jí)不如原版瀏覽器，這些可能存在安全問題。例如360瀏覽器、搜狗瀏覽器、獵豹瀏覽器，都可能存在此類問題。

黑奇士推薦安裝在線安裝chrome瀏覽器。國(guó)內(nèi)網(wǎng)站下載的full版chrome瀏覽器，升級(jí)功能受到限制，可能導(dǎo)致安全性能受損。

3、對(duì)于普通小白用戶，推薦使用密碼管理器，軟件會(huì)自動(dòng)識(shí)別網(wǎng)址，在仿冒的網(wǎng)址上不會(huì)自動(dòng)填入密碼。但需要指出的是，這類密碼管理器一旦被人入侵，所有密碼都會(huì)被竊取。如何權(quán)衡風(fēng)險(xiǎn)和便利，還需要用戶自己把握尺度。

4、手機(jī)端下載交易所軟件時(shí)，不要怕麻煩，一定要從官網(wǎng)下載，不要從國(guó)內(nèi)的手機(jī)軟件商店下載，那些軟件可能存在仿冒、換皮等問題。

(4)多個(gè)大交易所仍有漏洞

3月10日，有安全研究者在知乎表示，除了用戶賬戶被竊之外，交易所的風(fēng)控邏輯存在漏洞，也是這次攻擊成功的關(guān)鍵。

知乎網(wǎng)友“二子乘舟”在文章中推測(cè)，幣安交易所并未采取真正的OTP(One-timePassword)邏輯。

有幣安受害者在國(guó)外網(wǎng)站表示，自己開啟了幣安最高等級(jí)的2FA認(rèn)證。所謂2FA，就是在登陸賬戶的時(shí)候，除了賬號(hào)名、密碼需要正確之外，網(wǎng)站還會(huì)向你發(fā)送一個(gè)手機(jī)驗(yàn)證短信，驗(yàn)證成功才允許登陸，這個(gè)在業(yè)內(nèi)叫二次驗(yàn)證。

幣安的邏輯漏洞在于，手機(jī)驗(yàn)證短信在30秒有效期內(nèi)可以被二次使用：用戶首先在幣安使用，然后黑客再利用這條短信再次登陸，驗(yàn)證碼仍然有效。

而實(shí)際上，真正的OTP只允許一次登陸，即使在有效期之內(nèi)，只要有人使用過一次，就會(huì)及時(shí)作廢，防止黑客和用戶同時(shí)異地登陸。

根據(jù)“二子乘舟”的檢驗(yàn)，包括火幣、Bigone等著名交易所仍然存在OTP驗(yàn)證漏洞，可能會(huì)被黑客攻擊。

(5)安全廠商發(fā)布首個(gè)區(qū)塊鏈安全整體解決方案

3月12日，知名安全廠商頂象科技發(fā)布了區(qū)塊鏈安全整體解決方案。在這個(gè)方案中，像幣安釣魚的這種案例，被歸為“盜號(hào)非法登陸”。

頂象高級(jí)安全專家朱燁表示，如果部署了頂象的方案，當(dāng)黑客竊取了用戶的密碼，試圖登陸幣安網(wǎng)站或app時(shí)，可以對(duì)其進(jìn)行設(shè)備指紋、常用登陸IP、交易行為等多維度的風(fēng)險(xiǎn)模型識(shí)別，一旦發(fā)現(xiàn)異常即可阻止。

而且，根據(jù)幣安的公告，黑客使用了機(jī)械化高頻交易程序，控制被竊賬戶頻繁交易。像這種行為，在擁有豐富傳統(tǒng)金融安全經(jīng)驗(yàn)的安全模型來說，對(duì)其進(jìn)行防御輕而易舉，有多種安全策略可以奏效。

據(jù)介紹，頂象方案從以下三個(gè)方面來保護(hù)區(qū)塊鏈安全：

第一、防控各類外部入侵和漏洞利用：通過區(qū)塊鏈業(yè)務(wù)安全方案能夠快速發(fā)現(xiàn)攻擊者針對(duì)賬戶的撞庫(kù)和漏洞入侵嘗試，對(duì)App\H5進(jìn)行整體保護(hù)，防止攻擊者的破解入侵和終端密鑰盜取;及時(shí)攔截各類風(fēng)險(xiǎn)訪問和操作;同時(shí)針對(duì)釣魚場(chǎng)景可識(shí)別被釣魚賬戶等;

第二、防控各類非法登錄和高危惡意操作：通過區(qū)塊鏈業(yè)務(wù)安全方案可以有效辨別賬號(hào)登錄者的真?zhèn)?，阻止被盜號(hào)、遭冒用、非法登錄，并對(duì)登錄IP、終端關(guān)鍵信息等進(jìn)行畫像分析，以便于追溯和再次防范;同時(shí)，還能夠發(fā)現(xiàn)非授權(quán)的資產(chǎn)的轉(zhuǎn)移、提現(xiàn)、盜取信息等惡意操作，并聯(lián)動(dòng)阻斷攔截;

第三、保護(hù)隱私信息和關(guān)鍵數(shù)據(jù)：通過區(qū)塊鏈業(yè)務(wù)安全方案，實(shí)現(xiàn)對(duì)使用者身份的核驗(yàn)、分布式的密鑰管理、高強(qiáng)度的加密等，保障鏈上數(shù)據(jù)細(xì)粒度授權(quán)訪問，保障關(guān)鍵數(shù)據(jù)和信息的安全。

(6)安全路正長(zhǎng)，諸君當(dāng)努力

在黑奇士看來，現(xiàn)在無論什么行業(yè)，對(duì)于業(yè)務(wù)安全的需求都是有增無減。

以區(qū)塊鏈相關(guān)為例，幣安交易所對(duì)應(yīng)了傳統(tǒng)的滬深交易所，從收入水平、業(yè)務(wù)規(guī)模上都幾乎可以與其匹敵。但每年滬深交易所的安全投入都是以數(shù)十億計(jì)，幣安投入了多少，對(duì)安全能說足夠重視嗎?

昨天，幣安發(fā)布公告，懸賞25萬美元捉拿黑客。

我想說，這種作秀有意思嗎，你把這25萬美元放到安全防御上行不行?

再次一點(diǎn)，你如果舍得丟臉，在2月20號(hào)收到警告的時(shí)候，官方發(fā)個(gè)安全公告，提醒用戶小心釣魚攻擊，還會(huì)有后來的3.7驚魂嗎?

一聲嘆息。

（原標(biāo)題：“幣安驚魂夜”： 趙長(zhǎng)鵬半月前已收到警報(bào) 火幣bigone仍有漏洞）

IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000，定時(shí)推送，互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。